Jiří Schuster, Osobní Knowledge Base

Pokud je spojení z neznámého důvodu blokováno (nebo povoleno), tak může vzniknout potřeba najít pravidlo, kterým k nežádoucímu stavu dochází.

Tipy pro troubleshooting

• Při existenci jakéhokoliv FW pravidla, které je vytvořeno přes AD GPO a nedostupném řadiči domény automaticky nefunguje nové lokálně vytvořené FW pravidlo. Je potřeba obnovit připojení na řadič domény a GPO načíst a aplikovat (gpupdate /force).
• FW pravidla mají „nevyjádřenou prioritu“ - čím více je pravidlo specifické (detailní), tím má vyšší prioritu.

Vyhledání FW pravidla

1. Zapnout auditování zahozených spojení příkazem auditpol /set /subcategory:„Filtering Platform Packet Drop“ /success:disable /failure:enable
2. Reprodukovat problém
3. Spustit příkaz netsh wfp show state, ten vyexportuje všechny rules do .XML souboru.
4. V security logu najít zahozený paket, tam rule ID a v .XML souboru najít podle rule ID pravidlo, které způsobilo zahození paketu.
5. Auditování spojení podle potřeby vypnout příkazem auditpol /set /subcategory:„Filtering Platform Packet Drop“ /success:disable /failure:disable

Security log, Filter Run-Time ID

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          30.12.2021 5:56:38
Event ID:      5152
Task Category: Filtering Platform Packet Drop
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      WL354191.xxx
Description:
The Windows Filtering Platform has blocked a packet.

Application Information:
	Process ID:		4
	Application Name:	System

Network Information:
	Direction:		Inbound
	Source Address:		192.168.0.1
	Source Port:		33296
	Destination Address:	192.168.0.130
	Destination Port:	137
	Protocol:		17

Filter Information:
	Filter Run-Time ID:	1515918
	Layer Name:		Receive/Accept
	Layer Run-Time ID:	44

XML soubor, filterId

.
.
<action>
	<type>FWP_ACTION_BLOCK</type>
	<filterType/>
</action>
<filterId>1515918</filterId>
.
.

• Twitter
• Facebook
• LinkedIn
• Email